abonneren

Bestanden volledig verwijderen is zo eenvoudig nog niet

Bestanden volledig verwijderen
Op het internet zijn veel tips en ook tools te vinden die je beloven je data te beschermen tegen allerlei pottenkijkers, zoals forensisch onderzoekers. Maar bestanden volledig verwijderen of verstoppen is makkelijker gezegd dan gedaan. Tijd voor een grondigere reiniging.

Besturingssystemen als Windows houden standaard al veel data over het computergebruik bij, maar om je tegen forensische technieken te beschermen wil je natuurlijk ook privacygevoelige gegevensbestanden afgrendelen.

In deze workshop stellen we je enkele tools en trucs voor en zien we wat ze waard zijn. Heel vaak hanteert men daarbij het principe van ‘security by obscurity’ oftewel veiligheid door de genomen beveiligingsmaatregelen geheim te houden, een principe dat niet meteen de beste faam geniet.

Schijnveiligheid met Secret Disk

Er bestaan heel wat tools die je data ‘onzichtbaar’ maken. We nemen Secret Disk als voorbeeld. Je creëert hiermee een datacontainer die je met een wachtwoord afschermt. Na het invullen van het wachtwoord komt de container dan beschikbaar als een logisch station. Bij het afsluiten van dit volume horen je data onbereikbaar te zijn.

De gratis tool Process Monitor bewijst echter het tegendeel. Wanneer je deze tool tegelijk met Secret Disk opstart wordt al snel duidelijk waar Secret Disk de container bewaart: in de map c:\users\<accountnaam>\AppData\Local\Administrator tools.{…}. Je kunt in dit geval bij het capturen alleen het knopje Show File System Activity activeren en als filterregel bijvoorbeeld opgeven: Process Name begins with secret.

Wanneer je vervolgens Windows herstart (zonder Secret Disk op te starten) of je start het systeem vanaf een live Linux medium op, open je die map en wijzig je de extensie. De map, inclusief al je gegevens, is nu gewoon toegankelijk.

Bestanden volledig verwijderen

Profielmap in Windows

Een van de meest voor de hand liggende methodes om data af te schermen zit ingebakken in Windows: de profielmappen van een Windows-account. Het acl-beleid van Windows zorgt er dan voor dat de inhoud alleen zichtbaar is voor de geautoriseerde gebruiker.

Deze beveiliging valt echter makkelijk te omzeilen. Zo kan iemand met een administrator-account het contextmenu van je profielmap openen en daar Eigenschappen / Beveiliging / Geavanceerd / Eigenaar / Bewerken (of Wijzigen) kiezen om de controle over te nemen. Of hij start vanaf een live Linux-medium op, waarna hij via de bestandsbrowser naar die map kan navigeren.

Alternate data streams

Het kan natuurlijk ook exotischer. Zo ondersteunt een ntfs-volume zogenoemde bestandsvorken, oftewel alternate data streams (ads). Een bestand is namelijk uit verschillende delen opgebouwd: de eigenlijke gegevensvork en een of meer vorken met extra data (ads Zone.Identifier, inclusief vermelding van de HostURL). Inmiddels zijn ads ontdekt door malware als een manier om de bijhorende data te verbergen, maar ook gebruikers kunnen hierin data verstoppen.

Creëer bij wijze van experiment een Word-document en een ‘onschuldig’ tekstbestand. Op de opdrachtprompt voer je vervolgens het volgende commando uit:

type geheim.docx > onschuldig.txt:geheim.docx

Dit zorgt ervoor dat het Word-bestand in een bestandsvork van het tekstbestand wordt geplaatst, overigens zonder dat de Verkenner een toename van de bestandsgrootte te zien geeft. Veilig is dit echter niet. Het commando dir/R maakt namelijk alle ads-data zichtbaar, of je gebruikt een gratis tool als AlternateStreamView.

Wanneer je hier met de rechtermuisknop op de ads klikt en de optie Geselecteerde streams exporteren naar selecteert, kopieer je de verborgen data netjes naar een afzonderlijk bestand

Bestanden volledig verwijderen

Verborgen volumes

Net zoals je met tools als Secret Disk schijfstations aan het oog kunt onttrekken is dat ook mogelijk vanuit Windows, bijvoorbeeld via het Schijfbeheer (druk op Windows-toets+R en voer diskmgmt.msc uit). Klik met de rechtermuisknop op het gewenste datavolume, kies Stationsletter en paden wijzigen en druk op Verwijderen.

Of je regelt dit via Regedit: navigeer naar HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer en creëer (als deze nog niet bestaat) de DWORD-waarde NoDrives. Om het A:-station te verbergen geef je die waarde het decimale getal 1 mee, voor B: vul je 2 in, voor C: 4, voor D: 8 enz. Het getal 67108863 maakt in één klap alle stations onzichtbaar.

Het mag duidelijk zijn: dergelijke trucs stellen voor een forensisch onderzoeker niets voor. Met een beheerdersaccount (dat hij overigens ook zelf kan creëren) draait hij de procedure gewoon om, of hij benadert de schijf met een live medium als GParted om de verborgen volumes alsnog zichtbaar te maken.

Bestanden volledig verwijderen

Verwijderde bestanden terughalen

Gegevens die je (op dat medium) niet langer nodig hebt kun je natuurlijk ook gewoon verwijderen om te vermijden dat die in de handen van een forensisch onderzoeker vallen. Uiteraard let je er dan op dat je ook de Windows prullenbak leegmaakt. Maar ook dat volstaat niet om die data daadwerkelijk te doen verdwijnen – overigens geldt dat ook voor data die eerder op een opnieuw geformatteerde partitie stond.

Er zijn namelijk genoeg tools waarmee je die data nog kunt terughalen, zoals het gratis Recuva of Active@Undelete Freeware. Of desnoods met een hex-editor die ook data buiten de partitiegrenzen kan opsporen, zoals HxD of Active@DiskEditor. Start deze tools bij voorkeur als administrator op.

Wil je gegevensbestanden echt verwijderen dan dien je die te overschrijven met pseudo-willekeurige data. SDelete is een uitstekende tool om bestanden of mappen (met de parameter -s ook submappen) voor verwijdering eerst te overschrijven: vanaf de opdrachtprompt voer je dan dit commando uit:

sdelete <bestands_ of mapnaam>

Nou kun je met de parameter -p x de data meerdere keren laten overschrijven (x duidt het aantal passes aan), maar dat is nergens voor nodig: eenmaal overschrijven volstaat. Overigens hoort SDelete ook mft-data te kunnen opschonen, maar dat blijkt niet altijd 100% betrouwbaar te werken.

Met een gratis tool als Eraser kun je niet alleen bestanden maar ook een complete schijf(partitie) shredden. Interessant is hier het Target Type Unused disk space, waarbij je de optie Erase cluster tips kunt aanvinken. Dat zorgt ervoor dat ook de data tussen het einde van een bestand en van een cluster worden overschreven – immers, hier kan zich privacygevoelige informatie uit het geheugen bevinden (geheugenslack).

Geschreven door: Toon van Daele op

Category: Nieuws, Security

Tags:

Laatste Vacatures